Untersuchen: Suchen nach Textmustern

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 2Show Document
  • Comment0
  • View in full screen mode
 

Sie können in den Ansichten „Navigation“ und „Ereignisse“ im aktuellen Satz von Ereignissen nach Textmustern suchen. Sie können eine Textsuche nach Schlüsselworten oder einen Musterabgleich nach regulären Ausdrücken (regex) durchführen. In der Navigationsansicht können Sie auf einen Metawert klicken, wie etwa HTTP, um einen Drill-down in die Daten durchzuführen und dann eine Suchzeichenfolge in das Suchfeld einzugeben, um nach Ereignissen innerhalb dieser Untermenge von Daten zu suchen. Die Suche öffnet eine Registerkarte in der Ereignisansicht, bringt Ihren Drill-down-Punkt und Zeitbereich nach vorn und zeigt die Suchergebnisse an. Sie können auch mithilfe von Abfragen einen Drill-down in die Daten durchführen, bevor Sie eine Suche starten. Geben Sie zur Durchführung der Suche eine Suchzeichenfolge im Suchfeld ein und drücken Sie die Eingabetaste oder klicken Sie auf Suche.

Schlüsselworttextsuche

Die Textsuche bietet folgende Möglichkeiten:

  • Die durch Leerzeichen begrenzten Wörter werden mit dem Operator UND versehen, sodass jedes Wort gefunden werden muss, jedoch spielt die Reihenfolge oder die Position in Bezug auf die anderen Wörter keine Rolle. Wenn Sie zum Beispiel nach Mark Albert suchen, muss sowohl „Mark“ als auch „Albert“ in der Sitzung gefunden werden, diese Wörter müssen jedoch nicht zusammen stehen oder sich in einer bestimmten Reihenfolge befinden.
  • Für den Operator ODER gelten Besonderheiten. Wenn Sie nach Mark OR Albert suchen, muss entweder „Mark“ oder „Albert“ in der entsprechenden Sitzung gefunden werden, sie sind jedoch nicht beide erforderlich.
  • Sie können implizite UND- und ODER-Operatoren in der Suchzeichenfolge beliebig zusammenstellen und verwenden. Der explizite ODER-Operator hat eine höhere Priorität als der implizite UND-Operator (mit Leerzeichen). Im folgenden Beispiel wird dieselbe logische Anweisung verwendet, die erfordert, dass eine Übereinstimmung die beiden Wörter „cheese“ und „dumplings“ sowie entweder „toast“ oder „bread“ enthalten muss:
    cheese toast OR bread dumplings
    cheese AND (toast OR bread) AND dumplings
  • Sie können Wörter mithilfe des Operators - aus den Suchergebnissen ausschließen. Die Suche nach cheese -toast würde beispielsweise alle Ergebnisse zurückgeben, die das Wort „cheese“ enthalten, es sei denn, das Wort „toast“ ist auch vorhanden.
  • Die Schlüsselwortsuche kann Metadaten finden, die den folgenden Mustern entsprechen:
    • IPv4- und IPv6-Adressen. Jeder Ausdruck, der als eine IP-Adresse erkannt werden kann, wird in das native Metadatenformat konvertiert, sodass er in indizierten Metadaten gefunden werden kann.
    • IPv4-CIDR-Adressbereich. Sie können mithilfe der CIDR-Notation IPv4-Adressen innerhalb eines Bereichs finden.
    • Zeitstempel. Zeitstempel werden mit den nativen Zeitmetadaten und allen zusätzlichen Zeitmetafeldern, die mit dem Typ „Zeit“ gespeichert sind, verglichen.
    • Nummern. Die Suchfunktion versucht, automatisch dezimale Suchbegriffe zu identifizieren und sie gegen numerische Metadatenfelder abzugleichen.

Optionen zum Steuern des Suchverhaltens

So greifen Sie auf das Suchfeld und die Suchoptionen in den Ansichten „Navigation“ oder „Ereignisse“ zu.

  1. In der Symbolleiste wird das Feld „Ereignisse suchen“ angezeigt.
    This is the Search Events field
    Fehlerbehebung: Wenn das Feld „Ereignisse suchen“ nicht in der Symbolleiste angezeigt wird, klicken Sie auf der rechten Seite der Symbolleiste auf The Expand icon.
  2. Klicken Sie auf das Suchfeld, um das Drop-down-Menü „Suchoptionen“ anzuzeigen. In der Version 11.2 und höher sind die Menüoptionen etwas anders. In der ersten Abbildung ist das Menü für 11.1 und früher dargestellt. In der zweiten Abbildung ist das Menü für Version 11.2 und höher veranschaulicht.
    This is the Search Options drop-down menu
    the Search Options drop-down menu

Die in diesem Feld ausgewählten Optionen ändern die Ausführung der Suche. Im Standardsuchmodus werden Indizes nur für indizierte Metadaten und Rohdaten gesucht.

Hinweis: Da die Kontrollkästchen „Index“ oder „Nur indizierte Metadaten (Standard)“ aktiviert sind, gibt die Suche Ergebnisse basierend auf indizierten Daten zurück. Wenn Sie nach einem vollständigen Satz Metadaten oder Rohdaten suchen möchten, aktivieren Sie diese Kontrollkästchen und deaktivieren Sie das Kontrollkästchen „Index“ oder „Nur indizierte Metadaten (Standard)“. Diese Art der Suche dauert länger, gibt jedoch einen umfassenderen Satz von Daten zurück.

In der folgenden Tabelle werden die Investigation-Suchoptionen beschrieben.

                                       
Funktion Beschreibung

Kontrollkästchen Nur indexierte Metadaten (Standard) (Version 11.2)

Optionsfeld Index (Version 11.1)

Die Suche gibt nur Ergebnisse aus indizierten Daten zurück. Das Durchsuchen des Index ist der schnellste Weg, innerhalb einer großen Datenmenge Schlüsselwörter zu finden. Die Indexsuche verwendet alle relevanten Indizes innerhalb Ihrer Datensammlung.

Achtung: Übereinstimmungen von Teilzeichenfolgen werden durch eine Indexsuche nicht gefunden. Wenn Sie Übereinstimmungen von Teilzeichenfolgen benötigen, deaktivieren Sie dieses Kontrollkästchen und verwenden Sie einen Nicht-Index-Suchmodus.

Optionsfeld Alle Metadaten (Version 11.2)

Kontrollkästchen Metadaten (Version 11.1)

Durchsucht die Metadaten. Ihr Schlüsselwort oder Regex-Muster wird mit allen geparsten Metadaten verglichen.

Optionsfeld Alle Rohdaten (Version 11.2)

Kontrollkästchen RAW (Netzwerk/Protokoll/Endpunkt) (Version 11.1)

Sucht den Text für Netzwerk-, Protokoll- und Endpunktereignisse. Jedes Ereignis wird entschlüsselt und sein Inhalt wird nach Übereinstimmungen für das Schlüsselwort oder ein Regex-Muster durchsucht.
Wenn Sie alle Daten ohne Filter auf dem Archiver auswählen, kann die Ausführungszeit sehr lange dauern, sodass eine Warnmeldung angezeigt wird.

Achtung: Das Durchsuchen von Raw-Netzwerksitzungen führt dazu, dass Sitzungen dekodiert werden, was äußerst zeitaufwendig ist. Sie können Raw-Suchen auch deaktivieren, wenn Sie Nur-Netzwerksammlungen betrachten.

Optionsfeld Alle Metadaten und Rohdaten (Version 11.2)Sucht die Metadaten und den Protokoll- oder Ereignistext. Diese Option ist eine Kombination aus zwei Optionen in Version 11.1: Metadaten und RAW (Netzwerk/Protokoll/Endpunkt), die Sie gemeinsam auswählen können. In Version 11.2 können Sie nur ein Optionsfeld auswählen.
Groß- und Kleinschreibung nicht beachtenBei der Suche wird die Groß- und Kleinschreibung nicht beachtet.
Regulärer AusdruckSucht unter Verwendung eines regulären Perl-Ausdrucks und nicht einer Textzeichenfolge. Führt standardmäßig eine Textsuche aus. Um eine Suche nach einem regulären Ausdruck auszuführen, aktivieren Sie das Kontrollkästchen „Regulärer Ausdruck“.

Achtung:
 – Suchen nach regulären Ausdrücken können sehr langsam sein.
– Bei der Kombination von regulären Ausdrücken mit Indexsuchoptionen wird das Muster für den regulären Ausdruck mit eindeutigen Indexwerten anstelle von Metawerten verglichen. Dies führt schneller zu Ergebnissen, aber es ist keine vollständige Suche über alle Metadaten oder Rohdaten.

AnwendenLegt die Standardsuchoptionen fest, die auf eine Suche in der Navigations- und Ereignisansicht angewendet werden sollen. Dadurch werden auch die Einstellungen zu Investigation in Ihrem Profil aktualisiert („Profil“ > „Einstellungen“ > Registerkarte „Investigation“). Die Einstellungen werden gespeichert und sind sofort wirksam.
Sie können Suchoptionen auswählen, die für eine bestimmte Suche gelten sollen, ohne Ihre Standardsucheinstellungen zu ändern.

Syntax für die Suche nach regulären Ausdrücken

Eine Suche nach regulären Ausdrücken verwendet die Perl-Syntax für reguläre Ausdrücke, die auf der Website http://perldoc.perl.org/perlre.html ausführlicher erläutert wird.

Rohtext-Schlüsselwortsuche

Mit dem Log Decoder kann ein Rohtextindex für nicht geparste Protokollereignisse erstellt werden. Diese Funktion erstellt Metadatenelemente, die einen Volltextindex auf Downstream-Services wie Concentrators und Archivers bilden. Wenn Sie die Option „Suchindizes“ in ihren Sucheinstellungen aktivieren, verwendet Ihre Suche automatisch den Textindex. Beachten Sie, dass der Textindex Metaelemente erzeugt, die eine grobe Granularität haben. Z. B. kürzt die Standardkonfiguration für Text-Indexer Textausdrücke. Durch den Vergleich der Index-Übereinstimmung mit Rohdaten findet die Suchmaschine genauere Ergebnisse für Ihre Suche. Sie können aber die Suchzeiten verbessern, indem Sie das Kontrollkästchen „Suche in Rohdaten“ deaktivieren. Wenn Sie dies tun, werden Ergebnisse schneller zurückgegeben, aber es werden möglicherweise falsch positive Treffer in Ihren Suchergebnissen angezeigt.

Suchbeispiele

Die folgenden Beispiele zeigen Suchvorgänge ausgehend von der Navigations- und der Ereignisansicht an.

Suchen in der Ansicht „Navigation“

So führen Sie eine Suche in den zurzeit angezeigten Daten in der Ansicht „Navigation“ durch:

  1. Zum Durchführen eines Drill-down in die Daten klicken Sie auf einen Metawert, z. B. HTTP, im Bereich „Werte“.
    This is the HTTPS context menu
  2. Geben Sie eine Suchzeichenfolge in das Suchfeld ein und drücken Sie die Eingabetaste oder klicken Sie auf Suche.
  3. Um den Eintrag im Suchfeld zu löschen und zur normalen Ereignisansicht zurückzukehren, klicken Sie im Suchfeld auf das X.

Suchen in der Ansicht „Ereignisse“

So führen Sie eine Suche in den zurzeit angezeigten Daten in der Ansicht „Ereignisse“ durch:

  1. Geben Sie eine Suchzeichenfolge in das Suchfeld ein und drücken Sie die Eingabetaste oder klicken Sie auf Suche.
    Die Suchergebnisse werden in der Ansicht „Ereignisse“ angezeigt. Ereignisse, die den Suchkriterien entsprechen, werden in den Ereignissen angezeigt. In den Ansichten „Details“ und „Liste“ sind die Übereinstimmungen in der Spalte „Details“ markiert. Beim Durchsuchen von RAW sind Übereinstimmungen darüber hinaus in der Protokollansicht in der Spalte „Protokolle“ markiert.
  2. Wenn Sie die Suche eingrenzen möchten, ändern Sie die Abfrage und die Uhrzeit.
  3. Wenn Sie die Suche beenden und zur Ansicht „Ereignisse“ zurückkehren möchten, klicken Sie auf Abbrechen.
    Alle angezeigten Ergebnisse bleiben erhalten.
  4. Um den Eintrag im Suchfeld zu löschen und zur normalen Ansicht „Ereignisse“ zurückzukehren, klicken Sie im Suchfeld auf X.
You are here
Table of Contents > Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ > Suchen nach Textmustern

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)23 Views
      Last modified on Apr 28, 2019 12:36 PM
      Tags:
      Ratings: